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Программное средство логической проверки корректности 
криптографических протоколов распределения ключей на основе ВАМ- 
логики 


Н. С. Могилевская 
(Донской государственный технический университет) 


Рассмотрена идея анализа криптографических протоколов распределения ключей методами ВАМ№-логики; 
приведён пример анализа протокола Керберос; построено программное средство, автоматизирующее ана- 
лиз протоколов распределения ключей; исследована корректность его работы. 
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Введение. Криптографические протоколы играют значимую роль в защите информации. В раз- 
ное время было создано большое количество криптографических протоколов различного назна- 
чения. Фактически протокол представляет собой список сообщений, которыми должны обме- 
няться участники протокола. Несмотря на кажущуюся простоту, проблема оценки уровня безо- 
пасности протоколов является очень сложной. Так многие протоколы, считавшиеся надёжными 
долгое время, спустя десятки лет демонстрировали свою уязвимость в результате атак [1, 2]. 
Если определять криптографический протокол более строго, то это — распределённый алго- 
ритм последовательности шагов, точно специфицирующих действия, которые требуются от уча- 
стников для решения некоторой криптографической задачи [1, 3]. 

Для исследования уровня безопасности, который может обеспечить как уже существую- 
щий, так и только разрабатываемый протокол, используют специализированные формальные 
методы. Среди математических аппаратов, используемых для решения задачи формального 
анализа протокола, важную роль играют различные логики, среди которых наибольшее распро- 
странение получили логики доверия. В работе [4] была предложена ВАМ-логика, которая стала 
основой для разработки ряда других логик. Данная логика является первой попыткой построе- 
ния формального языка для описания исходных предположений, правил вывода и конечных це- 
лей анализа безопасности. ВАМ-логика, как и её расширения, позволяют проводить анализ про- 
токола вручную, однако это достаточно трудоёмко и чревато ошибками. Целесообразным пред- 
ставляется использовать автоматизированные системы анализа, но в настоящее время подоб- 
ных программ в свободном доступе нет. Программные средства (ПС), реализующие анализ про- 
токолов методами ВА№-логики, могут быть полезны и для тестирования работоспособности и 
безопасности криптографических протоколов обмена ключами, и для учебных целей, так как 
изучение любых логик доверия базируется на владении навыками анализа методами ВАМ- 
логики. 

Постановка задачи. Создать ПС ВапАпа!у7ег, автоматизирующее процесс анализа криптогра- 
фических протоколов методами ВА№-логики. Входные и выходные данные программного средст- 
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ва должны быть максимально приближены по своему формату к идеализированным протоколам, 
предлагаемым создателями ВА№-логики в оригинальной работе [4]. 

Для выполнения задачи кратко опишем идеи, лежащие в основе ВАМ-логики, и сконст- 
руируем алгоритмы работы ПС и опишем идею его создания. Затем рассмотрим пример анализа 
протокола с использованием ПС ВапАпа!утег и исследуем корректность результатов его работы. 
Основные положения ВАМ-логики. Данная логика используется для анализа протоколов 
распределения ключей [4—6]. Основная идея ВАМ-логики состоит в отслеживании восприятия 
сторонами поступающей информации, а именно: какие данные они принимают на веру, какие 
данные им точно известны и какие могут быть выведены логическим путём из достоверных для 
них фактов. Так, для каждого шага протокола методами ВАМ-логики формируется список ут- 
верждений о безопасности протокола, которым доверяют участники протокола. 

При использовании ВАМ-логики не моделируются ни различие между простым просмот- 
ром сообщения и пониманием его, ни пересмотр доверий, ни знание. Все эти аспекты адресуют- 
ся к неформальному отображению спецификации протокола в спецификацию ВАК-логики, кото- 
рое авторы [4] называют идеализацией. Таким образом, анализу протокола предшествует его 
идеализация, которая производится человеком самостоятельно согласно описанию протокола. 
Идеализированные протоколы считаются более ясными и обладающими более полной специфи- 
кацией, чем традиционные описания. В терминах ВАМ-логики протокол рассматривается на аб- 
страктном уровне, следовательно, ошибки конкретной реализации, такие как тупики или непра- 
вильное использование криптосистемы, при анализе не обнаруживаются. Методами ВАМ-логики 
анализируется непосредственно криптографический протокол и его логика, а используемые в 
нём криптографические методы считаются стойкими. 

Перечислим объекты, которые различают в ВАК-логике, и укажем их обозначения. Уча- 
стники протокола обычно обозначаются А, В, 5; общие ключи шифрования, применяемые при 
симметричной криптографии, обозначаются Кив, Кл И Кв, где индексы в обозначении указыва- 
ют на участников, использующих данных ключи; открытые ключи, используемые при асиммет- 
ричной криптографии, обозначаются К, Кси Кв (где А, В, $ — участники, которым принадлежат 
данные открытые ключи), связанные с ними секретные ключи обозначаются Кл, К‘ и Кв" 
соответственно; /М, М, № — специальные числовые значения (нонсы, метки времени); Х, У— 
общее обозначение для формул и утверждений. 

Единственная используемая логическая операция в ВА№-логике — конъюнкция обозна- 
чается запятой. Свойства ассоциативности и коммутативности считаются доказанными. 

Укажем базовую систему обозначений, принятую в ВАК-логике. 

РЕХ р— участник протокола Р верит (Бейеуе5) утверждению Х далее участник Р будет 
действовать, считая, что утверждение Х верно. 

РчХ — участник Р видит (5еез) утверждение Х; участник Р получил от кого-то утвер- 
ждение Хи может его прочитать и повторить. 

Р |- Х — участник Р однажды заявил (опсе за) утверждение Х, и в тот момент Р верил 
утверждению Х, однако время этого высказывания неизвестно. 

Р 5-Х — Робладает полномочиями (и5Асйоп) над Х; т. е. участник Р является авто- 
ром утверждения Хи верит в него. Эта конструкция часто обозначает, что пользователь имеет 
права на создание ключей. 
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#(х ) — утверждение Х является свежим (#е$Н). Под термином «свежий» понимается, 


что утверждение Х сгенерировано в текущем сеансе связи и не было послано до начала работы 
протокола. 


К 
Р<>О — участники Ри О могут использовать общий ключ К для установления связи. 


Предполагается, что ключ К’достаточно стоек и не может быть взломан кем-либо из посторон- 
них, если это не предусмотрено протоколом. 


К 
—>Р — Римеет открытый ключ К (ри с Кеу), а также согласованный с ним качествен- 
ный секретный ключ К“, никому не известный, кроме Р или участника, которому он доверяет. 


Хх 
Р-О — утверждение Х является секретом, известным только участникам Ри О, и они 
могут использовать Хдля доказательства своей аутентичности один другому. 
{Хх}. — данные Х зашифрованы с использованием ключа К. Шифрование считается на- 


дёжным. 
(х р — конкатенация утверждения Х и секрета У, Секрет У полностью идентифицирует 


объект, заявивший утверждение Хх. 

При анализе протоколов аутентификации различают два времени: прошлое и настоя- 
щее. Настоящее время начинается со старта данного сеанса работы протокола. Все сообщения, 
посланные до этого, считаются старыми сообщениями, и в ходе работы протокола необходимо 
предотвращать возможность появления таких сообщений. Все веры, принятые в настоящем, не- 
изменны на протяжении всего сеанса работы протокола, однако те веры, которые были приняты 
в прошлом, не обязательно должны быть переведены в настоящее. Такое простое разделение 
времени на прошлое и настоящее является достаточным для использования в ВАМ-логике. 

Ниже укажем наиболее важные правила вывода ВАК-логики, используемые для получе- 
ния новых утверждений и доверий участников протокола. В постулатах используем запись вида 
А, В 
те” ' 

что означает, что так как утверждения Аи В верны, то верно и утверждение С. 

Первые три выражения задают так называемые правила значения сообщений. Основное 
их различие состоит в том для получения одного и того же утверждения используются различ- 
ные исходные веры. Два первых правила позволяют интерпретировать шифрованные сообще- 
ния, а третье правило позволяет интерпретировать сообщения с секретами. Они все объясняют 
процесс получения верований о происхождении сообщений: 


РНОФР,Р а} 


, (1) 
РЕО|-Х 





РЕ => 0УВ <{(Х} 
РЕСО|-Х | 





РЕОФР,Ра{Х} 
РЕС|-Х 
Дадим эквивалентную словесную формулировку первому из этих выражений: из предположений 
о том, что Р верит в совместное с О использование ключа К; и Р видит сообщение Х, зашифро- 
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ванное ключом К, делаем вывод: Р верит, что О в какой-то момент высказал Х. Заметим, что 
здесь неявно предполагается, что сам Р никогда не высказывал Х. 

Правило проверки нонсов: 

РЕ#(Х),РЕОНХ 
РЕОЕХ ' ее 

т. е. если Р верит, в свежесть сообщения Хи верит, что О когда-то высказал Х, то он верит в то, 
что О по-прежнему доверяет Х. 

Правило полномочий: 








РЕС |5 Х,РЕСФЕХ (3) 
РЕХ 
говорит, что вера Р в полномочия О относительно Хи вера О в Х, влекут за собой веру РвХ. 
Как уже было сказано, перед непосредственным анализом протокола его необходимо 
представить в идеализированной форме. Для этого нужно записать шаги протокола в терминах 
ВА№-логики. Обычно в литературе каждый шаг протокола записывается в виде символьной 
строки: 








Р > О: сообщение. 


Такая запись означает, что участник Р посылает сообщение участнику О, а О получает это со- 
общение. Сообщение представляет собой строчку, содержащую различные данные. Сообщение 
в идеализированном протоколе — это формула. Например, в описании протокола может быть 
такая символьная запись: 

АВ (А К} : 


которая означает, что В получил сообщение от А. Сообщение зашифровано ключом Квз связи 
участника В и доверенного сервера $ и содержит имя участника протокола А, а также ключ Кв 
для связи участников Аи В. Этот шаг может быть идеализирован как: 


Кв 
В 31468 г 
Кв 


что означает, что участник В принял сообщение и может действовать дальше на основе полу- 
ченных данных. В идеализированной форме опускаются части сообщений, которые не способст- 
вуют получению новых формул. Например, можно опустить сообщения, используемые как реко- 
мендации о необходимости инициализации связи, то есть, как будто участники действуют спон- 
танно. Идеализированные протоколы не включают открытый текст как часть сообщения, так как 
эти части могут быть подделаны. 

Идеализированные протоколы считаются более ясными и более законченными специфи- 
кациями, чем традиционные описания, используемые в литературе, поэтому авторы ВА№-логики 
рекомендуют использовать идеализированные формы при изобретении и описании протоколов. 
Получение практического вида протокола из идеализированной формы, хотя и не совсем триви- 
ально, но менее трудоёмко и менее подвержено ошибкам, чем однозначное понимание специ- 
фических неформальных записей протоколов. К сожалению, идеализация протокола произво- 
дится человеком самостоятельно, этот этап нельзя автоматизировать, и, следовательно, при его 
выполнении возможны ошибки. К тому же не существует строгого алгоритма записи протокола 
в идеализированной форме. Более того, в ряде случаев идеализация одного и того же шага 
протокола может быть выполнена различными способами. 


8 


Вестник ДГТУ. 2012. №1 (62), вып. 2 








Укажем в общем виде утверждения, достижение которых обычно и является целью ана- 
лиза протокола с использованием симметричной криптографии. 
Для протоколов передачи ключей минимальными целями являются: 





К К 
АЕАФВ, ВЕ АВ 
т. е. оба участника верят в то, что у них есть общий ключ К для связи. Однако можно потребо- 
вать от протокола большего, например уверенности участников в свежести ключа: 





К К 
АЕ 8 [4 ‚в.в |= 8 [4 ‚в), 
а также уверенности каждого из них в том, что другой участник также верит в этот ключ: 


АЕВЕ А+. В НАЕА‹В. 
Такие утверждения называют подтверждением приёма ключа. Т. е. в результате работы прото- 
кола А будет уверен в знании В о том, что он разделяет секретный ключ с А, а В будет верить в 
то, что А знает об их общем ключе. В случае использования асимметричной криптографии цели 
анализа протокола формируются аналогичными утверждениями. 
Пример анализа протокола методами ВАМ№-логики. Рассмотрим хорошо известный прото- 
кол Керберос [2, 3], разработанный как часть проекта РгодесЕ Афепа корпорацией МТТ. Протокол 
позволяет двум участникам, используя доверенный сервер аутентификации, получить общий 
ключ. Напомним, что протокол состоит из 4 шагов. На первом участник А посылает серверу $ 
сообщение, указывая участника В, с которым хочет установить общий ключ; на втором шаге 
сервер 5 отправляет А новый ключ Кив, зашифрованный ранее установленным между Аи $ об- 
ЩИМ КЛЮЧОМ Каз, а также Кв, зашифрованный общим между Ви $ ключом Кв. В своё сообще- 
ние 5 добавляет временные метки для подтверждения свежести ключа; на следующем шаге 
участник А пересылает участнику В сообщение из двух частей: ключ Кв, зашифрованный К», а 
так же ключ Кав, зашифрованный этим же ключом. В своё сообщение А добавляет временные 
метки; на последнем шаге участник В пересылает А сообщение со своей временной меткой, за- 
крытое новым общим ключом Кв. В традиционной символьной записи шаги этого протокола вы- 
глядят следующим образом: 
Шаг1:А->$ {А,В} 





Шаг 2:5 > А: ТКТ КА} 


Шаг З:А-> В {Т.К в, А (Та Кв} 


АВ. 


Шаг 4:В — А:{Т, -1,Кщь} 


К дв 


Построим идеализацию протокола. Отметим, что первый шаг отбрасывается, так как не 
имеет ценности для дальнейшего анализа, а служит только для инициализации протокола: 


К Ав К дв 
Шаг 2: Ам гл] ил 


Кве де 


К Ав К дв 
Шаг 3: Вч тел) ‚лов 
Кас к 


АВ. 
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Кдв 
Шаг «ть [4 58| 
К, 


АВ 


В табл. указаны первоначальные доверия участников, необходимые для начала работы 











протокола. 
Доверия участников протокола Керберос (в терминах ВА\-логики) 
Доверия Значение 
АЕ АО А верит, что между Аи 5установлен общий ключ для симметричного шифрования Каз 
ВЕВ а В верит, что между Ви $установлен общий ключ для симметричного шифрования Квз 





АЕ$-К,, | Адоверяет серверу аутентификации 5$ генерацию симметричного ключа Кдв 





В|= $5 ЭК В доверяет серверу аутентификации генерацию симметричного ключа Кв 




















АЕ#Т, А верит в то, что временная вставка 7х, созданная 5, актуальна (доказывает свежесть сообщения от 5) 
ВЕ#Т, В верит в то, что временная вставка 7х, созданная 5, актуальна (доказывает свежесть сообщения от 5) 
АЕ#Т, А верит в то, что временная вставка В актуальна (доказывает свежесть сообщения от В) 
ВЕ #Т, В верит в то, что временная вставка А актуальна (доказывает свежесть сообщения от А) 





Проанализируем шаги протокола последовательно один за другим, по возможности при- 
меняя к ним все основные правила ВА№-логики. Запишем основные значимые этапы анализа. На 
втором шаге, применяя правило значения сообщений (1) получаем: 


Е К дв К дв 
АЕА< 5, Ач г [45 8] ть 458]| 
Кве Кде р (4) 
К дв Кв 
АЕ$ =. [458] т. 458 
К 


Из правила проверки нонсов (2) получаем 


Кв К дв 
деят, [458] |т.[ 458] ‚АЕ #Т, 
ы (5) 





В 





Кв 
АЕ | [4458] 


Применение правила проверки полномочий (3) даёт нам следующий результат: 





К дв Кв 
АЕ =. Е Ы[45 
К дв 
АЕ [А < в) 
Таким образом, в результате шага 2 протокола участник А доверяет полученному от $5 ключу 


для связи Аи В. 
Последовательно применяя (1), (2) и (3) к шагу 3 протокола получаем 





(6) 





Кдв Кв 
ВЕАхВ, ВЕАЕАФВ. 


Результат анализа шага 4 протокола даёт формулу: 
Клдв 
АЕВЕЛА<>В. 
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Таким образом, анализ ВА№-логикой показал, что выполнение протокола Керберос обес- 
печивает достижение всех целей симметричного протокола обмена ключами без использования 
дополнительных доверий. Ещё раз подчеркнём, что использованная логика не показывает уяз- 
вимостей протокола, связанных со слабостью процедур шифрования и ошибками реализации. 
По результатам анализа мы получили знание о логической корректности протокола. 
Алгоритмическое конструирование ПС. Алгоритмы работы программы условно можно раз- 
делить на четыре части: алгоритмы, реализующие взаимодействие с пользователем; алгоритм 
разбора введённого пользователем текста описания протокола на утверждения ВАМ-логики; 
алгоритм анализа протокола и алгоритм формирования выходных данных. 

Алгоритм разбора пользовательского ввода на утверждения ВАМ-логики получает на 
вход текст описания протокола. Текст может содержать шаги протокола, принятые доверия и 
комментарии к описанию. Комментарии из дальнейшего анализа исключаются как незначимые 
для анализа протокола. Выделить их в описании достаточно просто по служебному символу 
«#», предваряющему текст комментария. Шаги протокола отличаются от доверий тем, что их 
запись начинается с номера. Затем в строках, содержащих шаги и доверия, выделяем имена 
участников, ключевые слова (Бейеуез, зеез, за, сопго[5) и т. д. Алгоритмом по мере работы 
заполняются списки шагов, доверий и сообщений об ошибках — эти три списка считаются вы- 
ходными данными этого алгоритма. 


ш ВапАпа/утег 


Файл Помощь 


Описание протокола 





м оспехеь У соот тону ] $ Бейеуеб КаБ 

А Бейеуе$ те$|(Т$) Веймез А Бе!еуеб Каз 

В Бейеуе$ КЬ$ 5 Бейеме5 Каз 

5 Бейеуез КЬ$ ны А Бейеуе$ $ сопго5 КаБ 

В Бейеуе$ 5 сопго6 КаБ — А Бе!еуе5 гезН(Т$) 

В Бейеуе$ Яе$П(Т$) = В Бейеуе$ КЬ$ 

В Бееуе5 ЯезП(Та) ба 5 Бейеуез КБ$ 

2А зее$ (15, КаБ)Ка$ В Бейеуе$ 5 сопго[5 КаБ 

ЗВ 5ее$ (Т5, Каб)КЬ$ Еге5В В Бейеуез гезП(Т$) 

2 елок СТМ В Бе!еуез гез/(Та) 

Показывать дополнительную информацию 2 А ее (Т$, КаБ)Ка$ 
Расчет ЗВ эее5 (Т, КаБ)КЬ$ 

Результаты анализа # 3 В 5ее$ (Та)Каь 


ерс: #4 А зеез (Та+1)КаБ 


0 А5ЕЕС (Т5, КАВКАЗ 

1 В5ЕЕб (Т5, КАВ)КВ$ 

Ти$65: 

0 $ ВЕМЕУЕ$ КАВ 

1 АВЕНЕУЕС КАЗ 

2 $ ВЕМЕУЕб КАЗ 

3 А ВЕМЕУЕ$ $ СОМТКОЕ$ КАВ 
14 А ВЕЛЕУЕЗ ЕВЕЗН( ТС) 


Рис. 1. Основное окно ПС ВапАпаутег и полный текст описания исследуемого протокола Керберос 











Наиболее трудоёмким является алгоритм проведения анализа. Он различается для сим- 
метричных и асимметричных криптографических протоколов. Оба варианта алгоритма включа- 
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ют в себя как составную часть алгоритм поиска по довериям и результатам. Результат работы 
алгоритма поиска указывает, известно ли уже данное утверждение и чем оно является — пер- 
воначальным доверием или результатом анализа. Анализ каждого из шагов протокола проходит 
через три стадии, на каждой из которых последовательно применяются основные правила ВАМ- 
логики: проверка значений сообщений, проверка нонсов и проверка полномочий, при необхо- 
димости к основным правилам добавляется ещё ряд стандартных правил ВА№-логики, не опи- 
санных в данной работе. 

Выходные данные представляются в виде текстового файла, который формируется в 

следующем порядке: сначала к выходному тексту добавляем все распознанные шаги протокола 
в естественном порядке, затем добавляем все распознанные доверия протокола, после этого 
дописываем все полученные результаты анализа протокола в порядке их получения, в заклю- 
чение вносим в результирующий файл информацию о всех неиспользованных довериях прото- 
кола, записи о правилах ВА№-логики, применённых к каждому из шагов протокола, записи об 
ошибках во время распознавания шагов и доверий протокола. 
Программное конструирование анализатора ВАМ-логики ВапАпа\уг?ег. Для реализации 
программного средства был использован высокоуровневый язык программирования С++ в сово- 
купности с бесплатным фреймворком О. Архитектурный каркас данного ПС реализует шаблон 
проектирования М\УС («модель — представление — контроллер»). Это подразумевает, что мо- 
дели данных приложения, пользовательский интерфейс и основная логика работы приложения 
разделены на три слабосвязных компонента так, что модификация одного из компонентов ока- 
зывает минимальное воздействие на остальные. 

Роль обязательной для С++ функции тат() в разработанном ПС заключается в созда- 
нии главного окна приложения и запуска цикла обработки событий. Модель архитектуры МУС 
реализована в модуле то, представленном файлами тоае5.Н и тодеб.срр. Основой про- 
граммы является класс Ехргезчюп, представляющий в программе выражения ВА№-логики. Класс 
Ехгезчюоп имеет три поля: строковое поле мо; поле {уре, принимающее одно из четырёх воз- 
можных значений: ВЕМЕМЕ$, СОМТВОЕ$, ЗАТО, $ЕЕб, и поле мае, являющееся объектом класса 
биЫесЕ, определённого в этом же модуле. Класс Ехргезчюп имеет два конструктора; метод 
{оО бпа, возвращающий строковое представление выражения, и статический метод 
$&пд1$Туре(О5 па), возвращающий значение «истина», если параметр функции является до- 
пустимым значением для поля фуре, и «ложь» в противном случае. Класс ВапАпатег, унаследо- 
ванный от ОМаш\М/Ипаоми, — основная составная часть представлений модели МУС. Важнейшими 
методами класса являются следующие. Шпри_рагзтд() реализует разбор пользовательского 
ввода на выражения ВА№-логики, создание объектов класса Ехргеззюп и добавление их к собст- 
венному объекту класса ВапСопёго!. Оп_ризИВийоп_сИскед() — обработчик события нажатия на 
кнопку «Расчёт», запускает метод триЁ рагзто(), затем метод контроллера для процедуры ана- 
лиза, после чего формирует окончательный вывод результата. Обработчики нажатия на кнопки 
конструктора описаний, добавляют соответствующие им слова в поле для ввода в текущую по- 
зицию курсора. Обработчики вызовов меню. Класс НерГ!аод, унаследованный от ОГ/ад, реа- 
лизует диалоговое окно помощи. Основными функциональными компонентами являются сле- 
дующие. Метод НомНер(О$та) позволяет отображать текстовое содержание файла с име- 
нем, указанным в параметре на поле вывода диалогового окна. Обработчики нажатий на кнопки 
диалога вызывают метод зНомНерр, передавая ему различные имена файлов, в которых хранят- 
ся соответствующие справочные тексты. Класс ВапСоп{го! — контроллер программы по архитек- 
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Зерз: 
О АЕЕС (Т5, КАВ]КА$ 
В 5ЕЁ$ (115, КАВ]КВ$ 
В $ЕЕ$ (ТА, КАВ)КАВ 
А ЗЕЕ (ТВ, КАВ)КАВ 
Тги$$: 
0 АВЕШЕУЕ$ КА$ 
А ВЕШЕУЕ$ 5 СОМТВКОГ$ КАБ 
А ВЕМЕУЕ$ ЕВЕ$Н(Т5) 
В ВЕМЕУЕ$ КВ$ 
В ВЕМЕУВ5 5$ СОМТКОТ5 КАВ 
В ВЕМЕУЕ$ ЕКЕЗН(Т$) 
В ВЕМЕУЕ$ ГВЕЗН(ТА) 
А ВЕЫЕУЕ$ ЕВЕУНСТГВ) 
В ВЕМЕУЕ$ ЕВЕЗН(ТА) 


[У 


мым 





|= 


КезиИ$: 

А ВЕЦЕУЕ$ $ ЗАТ Т$, КАВ 

А БЕШЕУЕ$ $ ВЕЫЕУЕ$ Т5 

А ВЕЦЕУЕ$ $ ВЕМЕУЕ$ КАВ 
А ВЕШЕУЕ$ КАВ 

В ВЕМЕУЕ$ $ ЗАТ Т$, КАВ 

В ВЕЦМЕУЕ$ $ ВЕШЕУЕ$ Т5 

В ВЕЦЕУЕ$ $ ВЕШЕУЕ$ КАВ 
В ВВЫКУНУ КАВ 

В ВЕ ЕУЕ$ А ЗАТ ТА, КАВ 
В БЕ ЕУЕ$ А ВЕЦЕУЕ$ ТА 

В ВЕМЕУЕ$ А ВЕШЕУЕ$ КАВ 
А ВЕМЕУЕ$ В ЗАТ ТВ, КАВ 
А БЕШЕУЕ$ БВ БЕЫЕУЕ$ ТВ 
А ВЕЦЕУЕ$ В ВЕЦЕУЕ$ КАВ 








Ааопа шЮ: 

{7051 8 15 ипизеа ! 

Уер 0 ВШу гезо[уе 

Уер 1 ВШу гезо[уеа 

УЧер 2 попсе-уегИсаНон гезо[уе 
Уер 3 попсе-уегсаНоп гезоуе 





Рис. 2. Результат автоматизированного 


анализа протокола Керберос 


туре МУС, инкапсулирует в себе динамические списки 
шагов ($ер$), доверий ({и${5) и результатов (гези) 
протокола, список строк со сведениями об ошибках 
(тез5аде5) и некоторую служебную информацию, в том 
числе сведения 06 использовании шагов (массив 
$ерз_апа!зуз) и доверий (массив {ги _и$тпа). Алгоритм 
процедуры анализа протокола ВАМ-логикой выполняется 
в теле метода са!сщаИпо(). 

В левой части рис. 1 приведён скриншот основно- 
го окна ПС ВапАпа!утег, содержащий описание протокола 
Керберос и результаты его анализа. В программе для 
записи шагов протоколов и доверий участников исполь- 
зованы обозначения ВАМ-логики, предложенные разра- 
ботчиками ВАМ-логики. Кнопки Вейеуез, Сопгой 5, ба, 
5еез, ЕгезН используются для вставки соответствующих 
кванторов при формировании описания протокола. 
Пример проведения анализа протокола с исполь- 
зованием ПС ВапАпа!утег. На правой части рис. 1 
представлено полное описание протокола Керберос, вве- 
дённое в программу для анализа. Результат анализа про- 
токола Керберос с помощью построенного ПС представ- 
лен на рис. 2. Напомним, что по результатам ручного 
анализа протокол Керберос обеспечил достижение четы- 
рёх целей симметричного протокола обмена ключами, в 
результате автоматизированного анализа достигнуты те 
же цели. Итоговые результаты на рис. 2 подчёркнуты. 
Исследование работоспособности ПС ВапАпа!у?ег. 
Для испытания качества разработанного ПС были подго- 
товлены идеализированные описания ряда из четырна- 
дцати хорошо известных протоколов (Керберос, асим- 
метричного и симметричного протоколов Нидхема — 
Шрёдера, Ньюмана — Стабблайна, Ву — Лама, Деннин- 


га — Сакко, Отвея — Рииса, Апагеми КРС НапазПаке, РА$$, ВАМ-УаКаюгт, 5каНоп-ю-$а{оп, ЕКЕ, 
$РХ, «Широкоротая лягушка» [2, 6, 7]). Для каждого из этих протоколов был проведён анализ 
«вручную» и подготовлен список известных из литературы возможных атак. В ходе испытаний 
проводился автоматизированный анализ с помощью разработанного ПС и затем сравнивались 
результаты автоматизированного, ручного анализа и известных уязвимостей. Проведённые ис- 
пытания показали, что реализованное ПС ВапАпа!утег корректно выполняет формальный анализ 
криптографических протоколов распределения ключей методами ВА№-логики и может быть ис- 
пользовано как для изучения уже существующих протоколов, так и в процессе разработки но- 
вых протоколов для предотвращения их возможных уязвимостей. 

Заключение. В работе построено автоматизированное ПС, позволяющее проводить формаль- 
ную проверку логической корректности криптографических протоколов распределения ключей 
на основе использования ВА№-логики. Проведённые исследования показали корректность его 
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работы. В настоящее время построенное ПС доступно во внутренней сети ФГБОУ ВПО «ДГТУ» 
для использования студентами специальности 090103 «Компьютерная безопасность» в рамках 
изучения дисциплины «Криптографические протоколы» [5]. 

В качестве дальнейшего направления работы представляется интересным построить 
программные реализации для других логик доверия, например, АЧТЕОС (М. Кезчег С. Меде!), 
логики объяснений (В. КаУаг), В\У-логики (0. Ктагеа), СМУ (1. бопд, В. Мееднат, В. УаНают), 
ВСМУ/НОЕ, $\О (Р. 5ууегзоп), что позволит легко анализировать протоколы этими методами, а 
также проводить сравнительный анализ как различных протоколов, так и результатов анализа 
одного и того же протокола различными логиками. Считаем важной задачей организацию сво- 
бодного доступа к разработанной программе и её исходным кодам через Интернет для всех за- 
интересованных в использовании, изучении, а также дальнейшей разработке. 
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ЗОРТМ/АВЕ ТОО РОВ ГОСТСАЕ УАТРАТТОМ ОЕ СВУРТОСКАРНТС КЕУ 
СЕМЕКАТТОМ РВОТОСОТ$ ВАЗЕО ОМ ВАМ-ГОСТС 


№. 5. МодНеу$Кауа 
(Роп За Тесртса! Упмег®Ку) 


Тре 4еа о! апау2та сгурюдгар!с Кеу депегайоп ргоюсо5 гоидв ВАМ-од/с те осаб 15 сопз!АЕГЕЦ. Ап ех- 
атр/е оЁ КегБего5 ргоюсо! апа/у$5 [5 о/Меп. Тре 5оПугаге юо! ёпаЁ аюта5 {Те апа/уз5 о! Кеу депегайоп 
ргоосо[5 15 Би. [$ уайаайоп 15 пуезйдейеа. 

Кеуигога: ГЮогта! рго{осо! апа/уз5, сгурюдгар№и/с ргоюсо[5, Кеу депегайоп ргоюсоб, сотриёег-ааеа ргоюсо! 
апа/уз!/5 юо0/[5, Кегего$ ргоюсс/. 


15 


